Modificações de arquivos de auditoria sobre o ssh no linux

1

Eu queria monitorar todas as modificações feitas em um arquivo em um servidor Linux (Redhat). Fiz algumas pesquisas e encontrei esta ferramenta de auditoria que já instalei e configurei usando os seguintes comandos:

yum install audit # installation

/etc/init.d/auditd start # started service

auditctl -w /root/file-name -p war -k password-file # configured rule to audit file 

ausearch -f /root/file-name    # Command to search modifications

Registrou todas as modificações feitas no arquivo específico. Tudo estava bem até me deparar com os seguintes cenários:

Caso 1:

Eu deletei o arquivo que estou monitorando usando a ferramenta de auditoria mencionada no servidor usando o seguinte comando:

rm -rf /root/file-name

Registrou os seguintes resultados:

type=SYSCALL msg=audit(1540222267.321:1057): arch=c000003e syscall=2 success=yes exit=3 a0=7ffe22abf91a a1=941 a2=1b6 a3=7ffe22abed70 items=2 ppid=21053 pid=42458 auid=14628 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=5 comm="touch" exe="/bin/rm" key="password-file"

Caso 2: Eu apaguei o arquivo de um servidor remoto usando o seguinte comando:

ssh host "echo 'rm -rf /root/file-name'|sudo su - root"

Registrou os seguintes resultados:

type=SYSCALL msg=audit(1540222588.196:1118): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=ce70c0 a2=0 a3=7fff52a6af40 items=2 ppid=42520 pid=42533 auid=14628 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=9 comm="rm" exe="/bin/rm" key="password-file"

Agora, o ponto que me confunde é porque tty é registrado como nenhum quando eu executei o comando remotamente. Pesquisei na Web sobre isso, mas infelizmente não consegui encontrar nada que pudesse esclarecer minha confusão.

Alguém poderia explicar por que foi registrado como tty=(none) no caso 2?

Agradecemos antecipadamente, por favor, deixe-me saber se a minha pergunta não é clara ou algo está faltando, eu vou corrigi-lo.

    
por chaitanya gudur 22.10.2018 / 19:15

1 resposta

2

Quando você dá ao ssh um comando remoto para executar, ele não aloca um tty interativo, porque um não é necessário. Se você quiser forçar a alocação de tty, use -t .

    
por 22.10.2018 / 19:22